2024-05-04 17:32:51
根据区块链安全平台Cyvers消息,昨(3)日晚间有一位受害者遭到“地址投毒(addresspoisoning)”攻击,误将1,155枚WBTC发送到攻击者地址,以WBTC现价62,765美元计算,损失超过7200万美元。
地址投毒或是零U投毒攻击是近年相当常见的诈骗手法,黑客透过建立首尾相同的地址来迷惑用户,并透过这个地址向用户发送价值微小的交易,以便在目标钱包中显示该地址,诱骗粗心大意的用户复制到错误的地址,进而造成资金损失。
这种手法因低成本高回报近年受到攻击者的青睐,而本次攻击者透过发送0ETH交易,从受害者那里骗到了1,155WBTC,成为此类攻击中损失金额最大的案例之一。
黑客如何钓到1155WBTC?
这次的案件也引起了知名区块链安全公司慢雾科技创办人Cos余弦的注意,他昨晚在推特上发文指出这次钓鱼团伙可谓是“大力出奇迹”。据他分析,该用户遭遇攻击的关键点包括:
1.用户正常转帐的目标地址被钓鱼团伙盯上,钓鱼团伙提前碰撞生成了首尾号相似的钓鱼地址,例如这里是去除0x后的首4位、尾6位一样。
2.用户正常转帐时,钓鱼立即(大概3分钟后)尾随一笔交易:钓鱼地址往目标用户地址转了0ETH
3.用户习惯从钱包历史记录复制最近转帐讯息,看到了这笔钓鱼尾随的交易,以为钓鱼地址就是用户正常转帐的目标地址,于是复制出来
4.最后,用户可能会肉眼辨识目标位址的首尾号是否熟悉,可惜的是,此时的“目标位址”是使用者从钱包历史记录复制出来的钓鱼位址,首尾号相同(首4尾6),于是发起1,155枚WBTC的大额转帐。
来源:Cos(余弦)@evilcos
另外,根据加密KOL余烬监测,攻击者现已将得手的1,155枚WBTC全数兑换成22,960枚ETH。接下来很可能计划透过混币器洗出。
Metamask建议5招自保
虽然零U投毒攻击的手法简单,但特别容易成功,因为区块链地址相当长,许多用户转帐通常只会确认首尾号是否符合,也有许多钱包会因UI美观度,将地址的中间部分隐藏以…代替,一些用户甚至习惯从历史交易复制地址,这些都会大大提高踩坑的机率。
为了防范受骗上当,Metamask曾在去年提醒,建议用户可遵循以下5点安全措施:
1.在转帐前务必多次确认地址,尤其是涉及金额较大时,检查每个字符是确保安全的唯一方法
2.避免从历史交易复制地址的行为
3.使用冷钱包,通常会再次提醒用户检查转帐地址
4.将常用地址添加至地址薄
5.考虑先进行一笔测试交易
以太坊共同创办人Vitalik Buterin则建议,用户可使用ENS地址,减少检查地址时的麻烦,他提到“消除此攻击的另一种解决方案是使用ENS域名,如Bob.eth或Alice.eth,这样就不必检查所有十六进制的位元”。
2961
